SysEleven Supercache als DDoS Protection?

SysEleven Supercache als DDoS Protection?

Wer mit einer Webseite Geld verdient, ist für boshafte Angreifer ein beliebtes Ziel für Distributed Denial of Service (DDoS) Attacken. Als High-Performance Hoster von vielen namhaften Webseiten und E-Commerce Shops, ist die Abwehr solcher Attacken für uns Alltag. In der Regel handelt es sich um simple Erpressungsversuche:
Ziel eines DDoS Angriffs ist es, die Server der Webseite durch viele gleichzeitige Anfragen zu überlasten und damit die Webseite für Kunden unerreichbar zu machen.

Abwehr

Die Strategie der Abwehr solcher Attacken ist, Seitenaufrufe der Angreifer auszusperren und legitime Besucher weiterhin durchzulassen. Das setzt jedoch voraus, dass die schädlichen von den legitimen Seitenaufrufen unterschieden werden können. Bei vielen Attacken funktioniert dies ganz gut: Die Anfragen werden immer von den gleichen IP-Adressen, aus den gleichen Ländern oder mit einem ähnlichen Header im Request versendet. Diese Anfragen werden durch die Firewall ausgesperrt und verursachen keine Last mehr auf den Systemen – der Angriff ist abgewehrt.

Angreifer werden schlauer

In letzter Zeit sehen wir immer häufiger, dass nicht nur die Mechanismen zur Erkennung und Abwehr der Attacken besser werden, sondern dass die Angreifer dazu lernen und zwar sehr schnell als auch effektiv. Was macht man zum Beispiel, wenn hunderttausend IP-Adressen aus legitimen Ländern mit zufälligen Browserkennungen zufällige Unterseiten einer Webseite aufrufen? Dieser Traffic lässt sich kaum oder im schlimmsten Fall überhaupt nicht von legitimen Traffic unterscheiden. Schädliche Zugriffe können unmöglich ausgesperrt werden. Hartnäckige Angreifer lassen diese Attacken bis zu eine Woche laufen und sind bei Erfolg für einen kompletten Umsatzausfall während der gesamten Zeit verantwortlich.

Gute Abwehr: Keine Abwehr?

Wir haben uns in vielen Fällen mit dieser Herausforderung auseinandergesetzt und dabei die Erfahrung gemacht, dass oftmals keine Abwehr die beste Methode ist. Anstatt uns den Kopf darüber zu zerbrechen, wie wir gute von bösen Seitenaufrufen unterscheiden können, machen wir die Webseite (einfach) so schnell, dass sie viele Zugriffe aushalten kann.

Ausgangssituation

Die maximale Kapazität einer Webseite hängt sehr stark von der eingesetzten Software, der Anzahl der Server und deren Programmierung ab. In freier Wildbahn sehen wir üblicherweise maximale Kapazitäten zwischen 50 und 200 Seitenaufrufen pro Sekunde. Werden während eines Angriffs mehr als diese maximal möglichen Anfragen an die Server gestellt, wird die Webseite überlastet und ist unerreichbar. Die Kapazität einer Webseite kann man zum Beispiel mit dem Tool “Apache Bench” messen. Ein beispielhaftes Kommando lautet:
ab -c 100 -t 120s http://www.meineseite.de/
ACHTUNG: Dieser Test kann die Webseite überlasten, lahmlegen und im schlimmsten Fall sogar kaputt machen! Bitte nicht nachmachen! Zumindest hab ich Euch gewarnt. 😉

SysEleven Supercache

Die aktuelle Version des SysEleven Supercache liefert in der kleinen Ausbaustufe ca. 1200 Seitenaufrufe pro Sekunde aus. Wer mehr Power braucht, setzt mehrere Instanzen parallel ein. Zum Vergleich: Vor Kurzem wurde versucht durch einen Angriff die Webseite unseres Kunden mit 437 Zugriffen pro Sekunde lahm zulegen.

Detaillierte Infos zum SysEleven Supercache gibt es in dem Blogartikel “OXID Supercache“. Der Supercache ist somit nicht nur für kurze Peak und TV-Werbung geeignet, sondern gleichzeitig eine Möglichkeit die Webseite standfester zu machen.
Der Vollständigkeit halber, weise ich darauf hin, dass irgendwann jede Bandbreite erschöpft ist und auch der schnellste Cache nicht unendlich viel Kapazität hat. Für besonders schlimme Fälle gibt es Dienstleister, die auf die Abwehr globaler Attacken spezialisiert sind – Beispiele hierfür sind: Akamai, Prolexic und Arbor Networks
Wann bekommt Ihre Webseite den SysEleven Faktor?

Share this post

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.